2011年10月5日水曜日

Google Chrome アップデート公開

Google Chromeがバージョンアップを行った。

これによりバージョンは、14.0.835.163から14.0.835.202となる。

主な変更点は7件の脆弱性の改修が含まれる。
なかには、サンドボックスを回避して任意のコードを実行されるという問題の改修も含めるので、早めの更新を行いたい。

更新は例によって自動で行われるが、能動的に行いたい場合にはメニューのスパナボタン→Google Chromeについてを選択すると更新が行われる。

2011年9月18日日曜日

Google Chrome 14 安定版がリリース

Google Chromeがメジャーバージョンアップを行った。

これによりバージョンは、13.0.782.220から14.0.835.163となる。

主な変更点は新しいAPIの導入や、Mac OS X LION対応、32件の脆弱性の改修などが含まれる。

更新は例によって自動で行われるが、能動的に行いたい場合にはメニューのスパナボタン→Google Chromeについてを選択すると更新が行われる。

2011年9月5日月曜日

今日はフレディー・マーキュリーの誕生日

今日(9/5)はQueenのボーカルだったフレディー・マーキュリーの誕生日です。

Googleではスペシャルロゴが登場、Don't Stop Me Nowがバリバリ流れてます。

2011年6月17日金曜日

Google ChromeのWebGL機能を無効にする

ブラウザの機能はどんどん拡張されていますが、ついに3Dをブラウザ上でコントロールできるようになるWebGLという機能が登場し、Google Chromeなどで実装されています…が、仕様上の脆弱性が指摘されており、マイクロソフトはブラウザが直接ハードウエアコントロールできる仕様はとても危険だと、当初から反対のスタンスです。

マイクロソフトのセキュリティ部門のWeblog:
WebGL Considered Harmful (2011/6/16の記事)

マイコミジャーナルに判りやすく解説が付いている。
http://journal.mycom.co.jp/news/2011/06/17/017/

アメリカのセキュリティ機関US-CERTでも『こいつは危険だ!無効にしろよベイビー!』…と言ったかどうかは定かではありませんが、無効にするよう勧告を出しています。

Google Chromeではデフォルトで有効となっており(2011/6/17現在)、とっても危険なので無効化する事をお奨めします。(元が新機能ですので、特に無効にしても大した問題は出ませんが、有効にしておくことのリスクの方が遙かに大きい)

ショートカットから起動している場合には、起動オプションに--disable-webglをつけるだけです。

ショートカットの場合には前述のオプションを追加するだけでいいんですが、デフォルトのブラウザにしている場合にはレジストリをいじらなくてはいけないのでちょっと面倒です。

レジストリエディタ起動後、以下のキーを探してそれぞれの値に無効化オプションを追加してください。言うまでもなく自己責任でお願いしますね。
(参考:Google ChromeまとめWiki)
------------------------------------
HKEY_CLASSES_ROOT\ChromeHTML\shell\open\command
HKEY_CLASSES_ROOT\Applications\chrome.exe\shell\open\command
HKEY_CLASSES_ROOT\ChromeHTML\shell\open\command
HKEY_CLASSES_ROOT\ftp\shell\open\command
HKEY_CLASSES_ROOT\http\shell\open\command
HKEY_CLASSES_ROOT\https\shell\open\command
HKEY_CURRENT_USER\Software\Classes\ChromeHTML\shell\open\command
HKEY_CURRENT_USER\Software\Classes\ftp\shell\open\command
HKEY_CURRENT_USER\Software\Classes\http\shell\open\command
HKEY_CURRENT_USER\Software\Classes\https\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\chrome.exe\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChromeHTML\shell\open\command

青字:XPのみ 橙字:Vista/7のみ
------------------------------------

オプションを追加するところは、コマンドラインのchrome.exe"の直後に半角スペースを入れてオプションを追加します。お手本は以下の通り。

変更前:"(前略)\Google\Chrome\Application\chrome.exe" -- "%1"
変更後:"(前略)\Google\Chrome\Application\chrome.exe" --disable-webgl -- "%1"

きちんと無効化できたかどうかは、

WebGLの推進サイト
http://get.webgl.org/

に接続して、以下のように

While your browser seems to support WebGL, it is disabled or unavailable.
(キミのブラウザはWebGLをサポートしていないか無効になってるようだ)
と表示されればOK。

個人的には、Webコントロールで3D対応ってちょっと素敵な気もするが、カーネルを介さずにブラウザにハードウエアを直接コントロールさせるなんて危険な技術はまっぴらごめんである。

2011年6月8日水曜日

怪しげなSPAMにご用心

6月8日に大量のSPAMが日本対象に送信されました。




文法チェッカーバージョン2011という怪しげなソフトを紹介するもので、ダウンロードさせるファイル自体はマルウエアの可能性濃厚です。(検体はシマンテックに提出中)

リンク先はロシアのサーバーに向いていますが、Webの構造上かなりアレげですので、クリックしない方がよいかと思われます。

ここ最近のSPAMの傾向 (2011年5月度)

ここ最近日本語SPAMの動きが活発である。

これまではレンタルサーバーやホスティングサービスを利用した固定型攻撃や国内では有名なACE・飛猿などSPAM中継で有名なメール送信業者を利用したケースが多数を占めていただのだが、国内SPAMer(おそらく10人ないと思われる)のボットネットを利用が活発化している。

そのため、送信元も多岐にわたり着弾数としては中国・韓国がトップを占めるのは以前変わらないが、アメリカや中東・ウクライナ・ブラジル・メキシコなどこれまであまり利用されなかったIPからの送信が目立つようになってきた。

ボットネットの恐ろしい所は、ブラックリスト方式での対応が限りなく困難になること。なにせ数が多い上に分布も多岐にわたるため、中国や韓国みたいに該当するISPからのメール着信をばっさり、という訳にはいかなくなってきている。

それでもブラックリスト方式が全く無効か?というとそういうわけでもなく、ある部分ではかなり有効なことは間違いない。

現在管理しているメールサーバーでは1日あたり15~20万通のメールが着信するが、そのうち85%以上がSPAMである。大半はブラックリスト方式で遮断できているがそれでもボットネット経由がくぐり抜けてくるわけだが…

現在主に取っている対策方法は以下の通り。
(qmailでの対応だが、他でもそれなりに有効かと思われる)
(1)IPアドレスによる遮断
ブラックリスト方式の典型的な対応。
国によっては/18とか/16単位と大きなIPを遮断する場合もあるが、彼の大陸の国なので利用者には縁がないだろうということを想定してのこと。それ以外のIPでは大抵が/24以下あるいは大きくても/20以内での遮断になる。
同時に正規のメールサーバーが含まれると確認できた場合にホワイトリストも登録するのは言うまでもない。

(2)不正なHELOの遮断
最近受信先のメールサーバーのIPアドレスをHELO名に使用するケースが多数見られる。なので、自サーバーのHELOが正式なホスト名(DNSに登録されているもの)であれば、自IPのHELOを名乗ってくるヤツはばっさり切ってしまおう。

それ以外にホスト名が明らかに存在しないが、それっぽいものを使うケースが相変わらず多い。
不正なHELOとして google.co.jp、yahoo.co.jp、yahoo.com、goo.ne.jp、infoseek.jp、livedoor.comといった存在しないHELO(これらプロバイダはすべてHELOは正規のメールサーバー名を利用)が挙げられるのでこれらも遮断としてなんら問題ない。

ブラックリスト方式の弱点かつ重要な点はまめなメンテナンスが全てという点だろう。一度作ればOKと言うわけではなく、細かなリストの更新がブラックリスト方式を生かすことにつながっている。故に管理者の作業はいつまでも続くわけである。

2011年6月7日火曜日

Google Chrome 安定版が12へ

Goolge Chromeの最新版である12の安定版(12.0.742.91)が7日公開された。

14の脆弱性に対応したほか、Flash cookieをローカルで直接削除できる機能も搭載。またCSS 3Dも対応するようになった。このほか危険なファイルのダウンロードに対して警告を出す機能も追加されている。

2011年2月18日金曜日

光回線の通信速度は距離に影響?


今日の朝刊でとても興味深い記事を見つけた。



以下南日本新聞(2/18朝刊)から-------------------

与論町が整備した光ブロードバンド(高速大容量通信)が、当初想定した通信速度を確保できず、利用者から「ADSL(非対称デジタル加入者線)」と変わらない」との不満の声が相次いでいることが、17日分かった。奄美市で同日あった奄美群島振興開発審議会の意見交換会で、南政吾町長が報告、県などに対応を求めた。

与論町は2008年に光ファイバーの整備に着手し、09年12月からサービスを開始。総務省の補助事業を利用し、総事業費約3億6千万円で整備した。運営をNTTで行う公設民営方式。今年1月現在、約710世帯が加入している。
ところが、利用者から町に「当初の説明にくらべ通信速度が遅い」との声が寄せられたため、同町は2月、アンケート調査を実施するとともに、パソコン能力やネットワーク経路などにより通信速度に違いが出ることを考慮し、平均的な速度を測定する作業などを進めている。

NTT西日本鹿児島支店は「一般的なインターネットの通信方式は、通信距離が長くなると速度が低下する特性がある。設備に問題はなく、サーバーが多く設置されている首都圏との距離が原因」と説明している。

--(引用ここまで)-------------------------------

土管屋の理論だなぁ~

少なくとも公設民営でやっているのであれば、町が主導で調査するのではなく、きちんとISPとしてお客様の側に立って対応するべき。初めから端末には関わりたくないって態度が見え見えすぎて…

2011年1月14日金曜日

Google Chrome アップデート公開

Google Chromeがバージョンアップを行った。最新版は8.0.552.237になる。

同時にChrome OSも更新されて、こちらは8.0.552.334が最新版。

アップデートの概要として16の脆弱性が修正されており、「音声処理におけるポインタ陳腐化」は最も緊急度が高いCritical、その他Highが13件、Mediumが2件となっている。

Chrome Stable Release

ちなみに自動更新されるのでChromeを起動した状態で設定→Google Chromeについてを選択して、バージョン情報を確認しよう。